Palo Alto Networks ने एंटरप्राइज VPN गेटवे भेद्यता के सक्रिय शोषण के बाद तत्काल पैच जारी किया
TL;DR
Palo Alto Networks ने एंटरप्राइज VPN गेटवे भेद्यता के सक्रिय शोषण के बाद तत्काल पैच जारी किया
यदि आप Palo Alto Networks VPN का उपयोग कर रहे हैं, तो पढ़ना बंद करें और तुरंत अपने लॉग्स की जांच करें। कंपनी ने पुष्टि की है कि CVE-2026-0257—एक खतरनाक ऑथेंटिकेशन बायपास खामी—अब केवल एक सैद्धांतिक समस्या नहीं है। इसका सक्रिय रूप से दुरुपयोग किया जा रहा है।
यह कोई सामान्य अपडेट नहीं है। यह भेद्यता PAN-OS और Prisma Access के भीतर GlobalProtect पोर्टल और गेटवे कॉन्फ़िगरेशन को प्रभावित करती है। सरल शब्दों में कहें तो, हमलावर बिना किसी वैध पासवर्ड के आंतरिक एंटरप्राइज नेटवर्क में प्रवेश करने के तरीके ढूंढ रहे हैं।
जब यह भेद्यता पहली बार 13 मई, 2026 को सामने आई थी, तो इसे 7.8 का CVSS स्कोर दिया गया था। शुरुआत में, यह एक "मध्यम-गंभीरता" वाली समस्या लग रही थी। लेकिन जैसे ही सक्रिय शोषण की खबरें आईं, स्थिति बदल गई। अब, संघीय एजेंसियों से लेकर स्वतंत्र सुरक्षा शोधकर्ताओं तक, हर कोई चेतावनी दे रहा है। हमलावरों ने ऑथेंटिकेशन कुकीज़ को फोर्ज करना सीख लिया है, जिससे वे वैध कर्मचारियों के रूप में नेटवर्क में प्रवेश कर रहे हैं। एक बार अंदर आने के बाद, वे सिस्टम में अदृश्य होकर काम कर सकते हैं।
उल्लंघन की कार्यप्रणाली
वे ऐसा कैसे कर रहे हैं? यह भेद्यता इस बात में निहित है कि GlobalProtect गेटवे ऑथेंटिकेशन ओवरराइड कुकीज़ को कैसे संभालते हैं। यदि आपने ये कुकीज़ सक्षम की हैं और आपके प्रमाणपत्र कॉन्फ़िगरेशन एक विशिष्ट तरीके से सेट हैं, तो सिस्टम यह जांचना भूल जाता है कि सत्र वास्तव में वैध है या नहीं।
यह "खुले दरवाजे" जैसी स्थिति है। इन सत्र टोकन में हेरफेर करके, एक हमलावर को उसी उपयोगकर्ता के समान अनुमतियां मिल जाती हैं जिसका वे प्रतिरूपण कर रहे हैं। यदि वे किसी उच्च-स्तरीय व्यवस्थापक (admin) के सत्र को हाईजैक कर लेते हैं, तो उनके पास पूरे नेटवर्क की चाबियां आ जाती हैं।
इसकी समयरेखा बहुत गंभीर है। Rapid7 के शोधकर्ताओं ने 17 मई, 2026 को ही वास्तविक दुनिया में शोषण के प्रयास देखे थे। प्रारंभिक सलाह और हमलों की पहली लहर के बीच बहुत कम समय था। कई आईटी टीमों के लिए, "पैचिंग चक्र" अब एक दौड़ बन गया है।
स्थिति तब और गंभीर हो गई जब 29 मई, 2026 को, साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (CISA) ने इस खामी को अपने 'ज्ञात शोषित भेद्यता' (KEV) कैटलॉग में शामिल कर लिया। जब CISA ऐसा कदम उठाती है, तो यह हर संघीय एजेंसी और निजी क्षेत्र के लिए एक स्पष्ट संकेत होता है कि खतरा वास्तविक, वर्तमान और खतरनाक है।
जोखिम की वास्तविकता
यदि आप सोच रहे हैं कि क्या आप खतरे में हैं, तो अपने GlobalProtect सेटअप की जांच करें। यह भेद्यता विशेष रूप से ऑथेंटिकेशन ओवरराइड कार्यक्षमता का उपयोग करने वाले वातावरण को लक्षित करती है। यदि आपके प्रमाणपत्र या ओवरराइड सेटिंग्स विक्रेता की सुरक्षा आवश्यकताओं के अनुरूप नहीं हैं, तो आप खतरे में हैं। Palo Alto Networks ने CVE-2026-0257 के लिए आधिकारिक सुरक्षा सलाह प्रकाशित की है, जिसे हर एडमिन को पढ़ना चाहिए।
| विशेषता | विवरण |
|---|---|
| CVE ID | CVE-2026-0257 |
| CVSS स्कोर | 7.8 (मध्यम) |
| प्रभावित उत्पाद | PAN-OS, Prisma Access (GlobalProtect) |
| शोषण की स्थिति | सक्रिय रूप से शोषण किया जा रहा है |
| प्राथमिक जोखिम | ऑथेंटिकेशन बायपास / अनधिकृत VPN एक्सेस |
"मध्यम" CVSS स्कोर से भ्रमित न हों। चूंकि यह शोषण फोर्ज की गई कुकीज़ पर निर्भर करता है, इसलिए आपकी मानक सुरक्षा प्रणालियां इसे पहचान नहीं पाएंगी। यदि किसी हमलावर के पास आपके गेटवे कॉन्फ़िगरेशन का विवरण है, तो वे पहले ही आधे रास्ते तक पहुंच चुके हैं। इसे रोकने का एकमात्र तरीका विक्रेता द्वारा प्रदान किए गए पैच को लागू करना है।
अब आपको क्या करना चाहिए?
उद्योग की राय स्पष्ट है: इसे एक आपातकालीन स्थिति की तरह लें। जैसा कि The Hacker News ने बताया, हमलावरों के लिए प्रवेश की बाधा बहुत कम है। यह कॉर्पोरेट नेटवर्क में एक स्थायी आधार बनाने की तलाश करने वाले किसी भी व्यक्ति के लिए एक उच्च-मूल्य वाला लक्ष्य है।
Rapid7 की थ्रेट इंटेलिजेंस टीम इन प्रयासों को ट्रैक कर रही है, और उन्होंने नोट किया है कि ये हमले VPN परत को बायपास करने के लिए किए जा रहे हैं ताकि डेटा चोरी की जा सके।
जैसा कि The Register ने सही कहा है, यह बग अब एक "निगरानी" वाली सलाह से बढ़कर एक "आपातकालीन" स्थिति बन गया है।
आपकी तत्काल कार्य योजना:
- अपने कॉन्फ़िगरेशन का ऑडिट करें: अपने GlobalProtect पोर्टल और गेटवे सेटिंग्स की जांच करें। क्या ऑथेंटिकेशन ओवरराइड कुकीज़ सक्षम हैं? यदि हाँ, तो आप खतरे में हैं।
- संस्करण की जांच करें: अपने वर्तमान PAN-OS और Prisma Access संस्करणों की तुलना विक्रेता की आवश्यकताओं से करें।
- तुरंत पैच करें: अगले रखरखाव विंडो का इंतजार न करें। अपडेट अभी लागू करें।
- लॉग समीक्षा: अपने VPN लॉग्स में किसी भी संदिग्ध गतिविधि की जांच करें। ऐसे सत्रों की तलाश करें जो आपके सामान्य उपयोगकर्ता व्यवहार से मेल नहीं खाते—विशेष रूप से अप्रत्याशित भौगोलिक स्थानों या अज्ञात उपकरणों से लॉगिन।
- सूचित रहें: आधिकारिक Palo Alto Networks सुरक्षा पोर्टल को एक टैब में खुला रखें।
यह एक निरंतर बदलती स्थिति है। चूंकि शोषण वैध उपयोगकर्ताओं की नकल करता है, इसलिए आपको केवल "दुर्भावनापूर्ण" ट्रैफ़िक नहीं, बल्कि असामान्य ट्रैफ़िक की तलाश करनी होगी। क्या किसी कर्मचारी ने किसी नए शहर से लॉगिन किया? क्या कोई सत्र असामान्य समय तक खुला रहा?
CISA KEV कैटलॉग में इस बग का शामिल होना पुष्टि करता है कि यह केवल कुछ छिटपुट घटनाएं नहीं हैं। यह एक प्रवृत्ति है। Palo Alto Networks ग्राहकों की सुरक्षा के लिए कड़ी मेहनत कर रहा है, लेकिन मुख्य काम आपको करना है। यदि आपने अभी तक अपने गेटवे कॉन्फ़िगरेशन का ऑडिट नहीं किया है, तो आज ही करें।
